i-Dressup とデータ セキュリティの混乱

子供たちは着せ替え遊びが大好きですが、親は子供たちが許可や適切な監督なしに屋根裏部屋をあさったり、ワードローブの一番上の棚に登ったりすることを望んでいません。 i-Dressup.com の Web サイトは、子供を含むユーザーに、こうした潜在的な危険を冒さずに着せ替え遊びや服のデザインを行う仮想的な方法を提供しました。しかし FTC の訴状によると、Unixiz, Inc.i-Dressup を開発した会社である は、さまざまな種類のリスクを引き起こす方法で児童オンライン プライバシー保護法に違反しました。

COPPA は、保護者がオンラインで子供から収集した個人情報を管理できるように、2 つの個別の保護セットを導入しています。まず、COPPA の対象となる企業は、13 歳未満の子供から個人情報を収集する前に、自社の情報ポリシーを明確に開示し、保護者の同意を得なければなりません。第 2 に、企業は、収集したデータに合理的かつ適切なセキュリティを提供しなければなりません。 FTC の和解によると、i-Dressup は両方の COPPA 要件を満たしていませんでした。

の 苦情 i-Dressupは、子供たちからオンラインで収集した情報、その使用方法、その開示慣行、およびCOPPA規則で要求されるその他の詳細について、サイト上で十分な通知を提供しなかったと主張している。会社から保護者への直接の通知も不備だった。とりわけ、保護者が合理的な期間内に同意しない場合、i-Dressup は記録からオンライン連絡先情報を削除するという COPPA で義務付けられた声明が含まれていませんでした。この失敗は特に厄介な問題であることが判明したため、この話に固執してください。

i-Dressup では、ユーザーがオンライン ゲームをプレイできるようにするだけでなく、ユーザーが「ユニークな個人プロフィールで創造性とファッション センスを探求」し、他のユーザーと交流できるコミュニティも備えていました。 i-Dressup では、登録するにはユーザー名、パスワード、生年月日、電子メール アドレスを送信する必要がありました。生年月日からその人が 13 歳未満であることが示された場合、電子メール フィールドは「親の電子メール」に変更されます。 13 歳未満のユーザーが必須フィールドに入力して「今すぐ参加」をクリックすると、i-Dressup は個人情報を収集し、保護者の電子メール フィールドに入力されたアドレスにメッセージを送信します。電子メールを受信した人は、「今すぐアクティベートする」をクリックすることで同意できます。ボタン。

ただし、親が同意しなかった場合、i-Dressup は子供からオンラインで収集した個人情報を保管しました。 FTCは、同社がその情報を削除しなかったことは違反であると述べた セクション 312.5(c)(1) COPPA ルールの。

COPPA の親の同意規定に違反したことに加え、i-Dressup は規則にも違反したとされています。 データセキュリティ要件。 FTC によると、i-Dressup はユーザーの個人情報 (パスワードを含む) を平文で保存および送信していました。さらに、同社は、SQL 攻撃などのよく知られた脅威に対してさえ、自社ネットワークのネットワーク脆弱性テストを実施していませんでした。侵入検知および防御システムは実装されていませんでした。そして、潜在的なセキュリティインシデントを監視していませんでした。結果は？同社は、ハッカーが同社のネットワークに侵入し、13 歳未満であることを示した約 24 万 5,000 人のユーザーを含む約 210 万人のユーザーの情報にアクセスしたことを知りました。

事件を解決するには、i-Dressupとその所有者は35,000ドルの民事罰金を支払うことになります。また、将来的に COPPA に違反することも禁止されており、包括的なデータ セキュリティ プログラムを導入し、独立した隔年評価を受けるまでは、いかなる個人情報も販売、共有、収集することはできません。さらに、FTC に年次準拠証明書を提出する必要があります。

COPPA の対象となるサイトと運営者に対するメッセージは、保護者の同意という効果的なシステムはコンプライアンスへの第一歩にすぎないということです。 セクション 312.8 COPPA 規則では、「子供から収集した個人情報の機密性、セキュリティ、完全性を保護するための合理的な手順を確立し、維持する」ことも求められています。

データセキュリティの問題に興味がありますか?付属書を読む 委員会声明 さらに詳しく知る 今日発表された別のFTCの行動。